Richtlinie zur koordinierten Offenlegung von Sicherheitslücken
Die Sicherheit unserer Systeme hat für uns oberste Priorität. Wenn Sie eine Sicherheitslücke in einem unserer Systeme entdecken, teilen Sie uns dies bitte mit, damit wir sofort Maßnahmen ergreifen können. Als Zeichen unserer Wertschätzung bieten wir eine Belohnung für die erste Meldung einer unbekannten Sicherheitslücke an.
Was wir von dir verlangen
- Bleiben Sie im Geltungsbereich und verwenden Sie https://sandbox.elabjournal.com oder https://preview-developer.elabnext.com/ für Ihre Tests.
- Senden Sie eine E-Mail mit Ihren Ergebnissen an security@elabnext.com. Wenn Sie Ihre E-Mail nur verschlüsselt versenden möchten, teilen Sie uns dies bitte unter der oben angegebenen E-Mail-Adresse mit. Wir senden Ihnen Anweisungen, wie Sie uns verschlüsselte Informationen senden können.
- Geben Sie ausreichend Informationen an, um das Problem zu reproduzieren. Normalerweise reichen die IP-Adresse oder die URL und eine Beschreibung aus, aber komplexe Sicherheitslücken erfordern möglicherweise eine weitere Erklärung.
- Missbrauchen Sie die Sicherheitslücke oder das Problem nicht oder nutzen Sie sie nicht aus, indem Sie beispielsweise mehr Daten als nötig herunterladen. Oder indem Sie die Daten anderer Personen einsehen, löschen oder ändern.
- Enthülle das Problem nicht anderen, bis es gelöst ist. Haben Sie durch das Leck vertrauliche Daten erhalten? Löschen Sie diese, sobald das Problem gelöst ist.
- Verwenden Sie keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen Dritter.
Die E-Mail-Adresse security@elabnext.com kann nur für Benachrichtigungen über Sicherheitslücken in unseren Sicherheitsmaßnahmen verwendet werden. Alle anderen Fragen oder Anmerkungen zur Nutzung der eLabNext-Website werden nicht beantwortet.
Was wir versprechen
- Wir werden innerhalb von 7 Werktagen auf Ihren Bericht antworten.
- Wir werden unsere Bewertung des Berichts und einen voraussichtlichen Lösungstermin vorlegen. Außerdem werden wir die Sicherheitslücke als niedrig, mittel, hoch oder kritisch einstufen.
- Wir behandeln Ihren Bericht streng vertraulich. Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, es sei denn, wir sind gesetzlich dazu verpflichtet. Sie können ein Problem auch anonym melden.
- Wir werden Sie über den Stand der Problemlösung auf dem Laufenden halten.
- In allen öffentlichen Informationen, die das Problem betreffen, werden wir Ihren Namen als Entdecker angeben, aber nur, wenn Sie dies wünschen.
- Wir bieten eine Belohnung für jeden ersten Bericht über eine unbekannte Sicherheitslücke. Die genaue Belohnung hängt vom Schweregrad der Sicherheitslücke und der Qualität des Berichts ab. Sie reicht von einer lobenden Erwähnung bis hin zu einer finanziellen Belohnung.
- Wir bemühen uns, alle Sicherheitslücken so schnell wie möglich zu beheben.
Belohnungen je nach Schweregrad
Wenn Sie die obigen Anweisungen befolgt haben, werden wir in Bezug auf den Bericht keine rechtlichen Schritte gegen Sie einleiten.
* Falls die Verbundanmeldung (z. B. LDAP/AD/AD FS/ Single Sign-On) aktiv ist, sind keine Passwörter erforderlich und werden nicht gespeichert.
Zusätzlich zu den erforderlichen personenbezogenen Daten hat das System die Möglichkeit, weitere personenbezogene Daten wie die Berufsbezeichnung oder die Adresse der Organisation zu speichern. Alle Bio-Itech-Softwareanwendungen bieten direkten Zugriff auf alle personenbezogenen Daten im Benutzerprofil, von wo aus der Benutzer die Möglichkeit hat, persönliche Informationen im System zu entfernen oder zu ändern. Für Kunden mit einer Private Cloud- oder On-Premises-Installation kann der Systemadministrator/Key-User die Datenschutzrichtlinie in den Systemeinstellungen ändern, um die DSGVO-Konformität zu gewährleisten.
Ruhmeshalle
Die Security Researchers Hall of Fame würdigt die außergewöhnlichen Beiträge von Personen, die unsere Cybersicherheit durch die Identifizierung und Meldung von Sicherheitslücken erheblich verbessert haben. Diese engagierten Forscher spielen durch ihr Fachwissen und ihr ethisches Engagement eine entscheidende Rolle beim Schutz unserer digitalen Welt, treiben Fortschritte bei den Sicherheitspraktiken voran und schützen unzählige Systeme und Daten. Diese Hall of Fame würdigt ihr bemerkenswertes Können, ihre Integrität und ihr Engagement und würdigt den tiefgreifenden Einfluss, den sie auf unser digitales Leben haben und für eine sicherere Zukunft für alle sorgen.